Conformité FERPA Il s'agit du respect d'une réglementation fédérale qui oblige les établissements d'enseignement à protéger la confidentialité des dossiers scolaires des élèves. Que stipule cette loi et quelles sont ses exigences ?
Découvrons-le.
Qu'est-ce que les droits éducatifs et la confidentialité de la famille (FERPA) ?
Le Loi sur les droits à l'éducation et à la vie privée de la famille (FERPA), également connu sous le nom d'amendement Buckley, est entré en vigueur en novembre 1974. Toute école, district scolaire ou institution qui reçoit un financement du ministère de l'Éducation des États-Unis (DoE) doit se conformer aux exigences du FERPA.
Cette loi fédérale couvre tous les détails des étudiants, y compris les informations personnelles identifiables (IPI) et des informations d'annuaire, et sert à deux fins :
- Elle donne aux parents de l'élève, ou à l'élève lui-même s'il a plus de 18 ans, le droit de consulter son dossier scolaire. Si celui-ci est inexact, les parents peuvent demander sa rectification. En cas de refus de l'école, les parents ont droit à une audience formelle.
- Cela empêche l’école de partager les informations d’un élève sans l’autorisation des parents ou de l’élève admissible.
Il est important de noter que tous les documents mentionnant le nom d'un élève ne sont pas couverts par la FERPA. La loi s'applique uniquement aux dossiers scolaires officiels. Ces dossiers ne doivent pas nécessairement être papier. Les documents numériques, les courriels, les vidéos ou tout autre format sont couverts par la FERPA.
Le règlement fait une distinction entre les informations personnelles identifiables et les informations d’annuaire. Informations personnelles sensibles, comme les numéros de sécurité sociale, les notes et les dossiers disciplinaires, ne peuvent pas être partagés sans explicite autorisation écrite, sauf dans certaines situations juridiques.
Cependant, les informations de l'annuaire sont plus générales, comme le nom de l'étudiant, son année d'obtention du diplôme ou sa pratique sportive. Elles peuvent être partagées sans autorisation, sauf si l'étudiant ou ses parents s'y opposent.
La loi transfère également automatiquement les droits des parents à l'élève dès qu'il atteint 18 ans ou s'inscrit dans un établissement d'enseignement supérieur ou universitaire, selon la première éventualité. Passé ce délai, l'établissement ne peut divulguer d'informations aux parents sans le consentement écrit de l'élève, sauf cas particulier, car cela constitue une violation de la FERPA.
Qu'est-ce qui n'est pas couvert par la FERPA ?
Comme nous l'avons mentionné précédemment, tous les documents mentionnant l'étudiant ne sont pas couverts par la FERPA. En voici quelques-uns :
- Tout enregistrement créé par un enseignant, un professeur ou un membre du personnel, pour son propre usage et non partagé avec qui que ce soit : Par exemple, les notes privées d'un enseignant concernant un élève sont exemptées. Cependant, si l'enseignant les partage avec d'autres enseignants, elles deviennent partie intégrante du dossier de l'élève et sont, à ce titre, couvertes par la loi FERPA.
- Dossiers de police ou de sécurité conservés par le service d'application de la loi de l'école : Il ne s’agit pas de dossiers scolaires, la loi ne s’applique donc pas à eux.
- Dossiers des personnes qui sont des employés de l'école : Ces personnes sont couvertes par le droit du travail, car elles ne sont pas étudiantes. Cependant, si l'employé est également étudiant, ses documents sont protégés par la loi FERPA.
- Dossier médical d'un élève créé par les services de santé de l'école : Ceux-ci sont couverts par HIPAA car ce sont des informations médicales et pas de données éducatives.
- Dossiers des anciens élèves créés après l'obtention du diplôme de l'étudiant : C'est assez évident : une fois diplômés et qu'ils ont quitté l'école, ils ne sont plus étudiants. Par conséquent, toutes les informations les concernant collectées par la suite (historique des dons des anciens élèves, coordonnées après l'obtention du diplôme, etc.) ne sont pas couvertes par la loi FERPA. En revanche, les documents relatifs à leur période d'études restent protégés.
- Documents évalués par les pairs avant que l'enseignant ne les récupère et ne les enregistre : Les devoirs et questionnaires notés par d'autres élèves ne constituent pas des documents officiels et ne sont pas soumis à la FERPA. Cependant, une fois collectés et officiellement enregistrés par l'enseignant, ils sont protégés par la loi.
Qu'est-ce que la conformité FERPA ?
Les exigences de conformité à la FERPA sont relativement simples. Elles peuvent être classées en trois catégories :
Consentement
Le consentement est l'exigence la plus importante de la FERPA. Un établissement scolaire ne peut pas communiquer les informations personnelles d'un élève figurant dans son dossier scolaire sans l'autorisation écrite explicite du parent ou du tuteur, ou de l'élève, s'il a plus de 18 ans ou s'il est inscrit dans un établissement d'enseignement supérieur. Cela comprend :
- Notes, bulletins scolaires ou relevés de notes
- Dossiers disciplinaires
- Dossiers d'éducation spécialisée (par exemple, PEI)
- Dossiers médicaux des élèves, s'ils sont conservés par l'école et non par un établissement médical
- Dossiers d'aide financière et de scolarité
Elle prévoit certaines exceptions pour lesquelles le consentement n'est pas requis. Les informations peuvent être partagées avec :
- Les responsables scolaires, comme les enseignants, les conseillers, les administrateurs et le personnel informatique, qui ont besoin de ces informations pour faire leur travail
- Une autre école, si l'élève est transféré ou s'inscrit, et ils demandent des dossiers
- Personnel médical, en cas d'urgence sanitaire ou de sécurité
- Les bureaux d'aide financière, qui ont besoin des données pour traiter les subventions, les prêts et les bourses
- Les organismes chargés de l'application de la loi et les tribunaux, si les informations sont requises par une assignation à comparaître ou une procédure judiciaire
- L'État ou les autorités de justice pour mineurs dans certaines situations juridiques
- Les parents, si l'élève a moins de 21 ans et fait face à des mesures disciplinaires pour abus de drogues ou d'alcool
Conformément à la loi FERPA, les établissements scolaires doivent également accorder à l'élève ou à ses parents le droit de consulter et d'examiner leur dossier scolaire officiel dans un délai de 45 jours s'ils en font la demande. La personne concernée peut demander la modification des informations si elles sont inexactes.
Les étudiants peuvent renoncer à leur droit de consulter leur dossier, mais ils doivent préalablement bénéficier d'un accompagnement et de conseils. Cela les protège contre toute renonciation à leurs droits sans en comprendre toutes les implications.
Comme mentionné précédemment, les informations d'annuaire, telles que le nom, l'adresse, le numéro de téléphone et les diplômes de l'élève, peuvent être partagées par l'école sans l'autorisation explicite des parents ou de l'élève. Cependant, la personne concernée doit avoir la possibilité de refuser ce partage au préalable.
Entraînement
Il est de la responsabilité de l'école de former ses employés aux règles de la FERPA, notamment sur ce qui est protégé et ce qui ne l'est pas, les conditions de partage d'informations et la gestion appropriée des dossiers. Les personnes à former sont :
- Les enseignants et les professeurs, qui ont besoin de savoir ce qu'ils peuvent et ne peuvent pas partager
- Le personnel de bureau et administratif, car ils traitent les dossiers des étudiants au quotidien
- Le personnel informatique, car il gère souvent des bases de données contenant des informations sensibles sur les étudiants
- La sécurité du campus, car ils doivent comprendre les limites de la FERPA sur les dossiers des forces de l'ordre
- Fournisseurs tiers, tels que les plateformes d'apprentissage, qui traitent les données des étudiants au nom de l'école
Toutes ces parties doivent comprendre les types de dossiers scolaires couverts par la FERPA. Par exemple, les enseignants doivent savoir que discuter de la note d'un élève en échec avec un autre élève constitue une infraction.
Ils doivent savoir comment gérer les demandes d'accès aux documents, notamment lorsqu'ils nécessitent ou non un consentement. S'ils reçoivent des demandes de parents ou d'élèves, qu'il s'agisse de consulter les documents ou de corriger des inexactitudes, ils doivent savoir comment les traiter correctement.
Élimination des dossiers est un élément aussi important de la gestion des données que leur stockage. Les employés doivent être formés à la destruction des documents anciens et non désirés. La formation doit inclure la procédure de suppression ou de déchiquetage des documents afin de réduire le risque de divulgation involontaire.
Sécurité
Comme pour les autres lois sur la protection des données, la conformité à la FERPA exige des établissements scolaires qu'ils protègent adéquatement les dossiers des élèves, tant sur support physique qu'électronique.
Pour les documents papier, les classeurs doivent être verrouillés et stockés dans un endroit désigné, inaccessible aux personnes non autorisées. Seules les personnes ayant besoin d'un accès doivent y être autorisées.
Pour les archives numériques, des mesures de cybersécurité appropriées doivent être mises en place. Toutes les informations, notamment celles stockées dans les bases de données, doivent être protégées par mot de passe. Les données stockées doivent être chiffrées, de sorte que même si des acteurs malveillants parviennent à les accéder, ils ne puissent pas les lire facilement.
Des mesures comme contrôle d'accès basé sur des règles (RBAC) Le principe du moindre privilège doit être appliqué. Cela garantit que seuls les employés ayant besoin des informations peuvent les consulter. Plus important encore, tous les processus de cybersécurité doivent être audités régulièrement afin de vérifier leur efficacité et d'éventuelles améliorations.
Qui doit se conformer à la FERPA ?
Tout établissement, agence ou programme éducatif recevant un financement fédéral doit se conformer à la FERPA. Par conséquent, la plupart des écoles publiques, districts scolaires et universités, mais pas tous, sont concernés par cette réglementation.
Par exemple, si une université privée accepte des prêts fédéraux, elle doit se conformer à la loi FERPA pour garantir la protection de la vie privée des étudiants. En revanche, un établissement d'enseignement primaire et secondaire financé par des fonds privés n'est pas tenu de le faire.
Quelle est la sanction en cas de violation de la FERPA ?
Sanctions pour les écoles et les institutions
Les établissements d'enseignement ont l'obligation éthique de protéger les données personnelles de leurs étudiants. Cependant, le règlement en fait également une obligation légale, imposant de lourdes sanctions en cas de violation.
Si une plainte est déposée contre un établissement d'enseignement, celui-ci pourrait faire l'objet d'une enquête officielle sur son traitement des données et les pratiques de ses employés. Il pourrait également recevoir des injonctions formelles de cesser et de s'abstenir de la part du Département de l'Éducation, des parents ou d'associations de défense des droits afin de mettre fin aux divulgations non autorisées.
En cas de non-respect de la loi FERPA, l'une des conséquences les plus graves pour l'établissement est la perte des financements reçus du Département de l'Éducation et d'autres agences fédérales. Étant donné qu'un grand nombre d'établissements d'enseignement supérieur dépendent fortement des aides fédérales aux étudiants, cette sanction est lourde.
Il existe également des lois sur la protection de la vie privée spécifiques à chaque État. Si la violation de la FERPA enfreint également une loi de l'État, des sanctions supplémentaires seront prévues.
De telles violations entraînent souvent une mauvaise presse et des poursuites judiciaires, ce qui peut nuire à la réputation de l'établissement et entraîner une perte de crédibilité auprès des étudiants, des parents et du personnel. Enfin, la direction peut être suspendue temporairement ou remplacée.
Sanctions pour les employés
Tout employé d'un établissement d'enseignement responsable de la divulgation non autorisée des informations protégées d'un élève peut perdre son emploi. Il peut faire l'objet d'une enquête interne et se voir interdire l'accès aux systèmes et aux dossiers scolaires.
Bien que la loi FERPA n'autorise pas les poursuites privées, ils peuvent être poursuivis en vertu d'autres lois, notamment pour fraude ou vol d'identité. Enfin, ils peuvent être condamnés à payer des amendes pour violation de la loi FERPA.
Sanctions pour les fournisseurs tiers
Si un fournisseur ne parvient pas à sécuriser correctement les données des élèves, les établissements scolaires peuvent résilier leur contrat. Ils pourraient également être poursuivis pour violation de données en vertu du droit des contrats ou des lois nationales sur la protection de la vie privée, comme la Loi sur la confidentialité des données de Virginie ou le ICDPADe plus, comme cela affecte leur réputation, d’autres écoles et institutions peuvent également annuler leur contrat.
Exemples courants de violations de la FERPA
Toutes les violations de la FERPA ne sont pas intentionnelles ; certaines peuvent être accidentelles, mais elles entraînent les mêmes conséquences, notamment la possibilité pour les parents et les élèves de porter plainte. Voici quelques exemples courants de violations, intentionnelles ou non :
Lettres de recommandation
Cette violation est délicate, car même si les lettres de recommandation font partie des informations personnelles d'un étudiant, un établissement peut les transmettre à d'autres établissements d'enseignement sans consentement. Cependant, cette exception ne s'applique pas aux entités non éducatives, comme les employeurs potentiels. Il s'agit d'une distinction importante que le personnel administratif doit connaître.
Courriels à plusieurs destinataires
Si un établissement envoie des courriels à un groupe d'étudiants, il peut divulguer par inadvertance l'identité de chacun en oubliant d'utiliser la copie cachée (Cci) pour les courriels des étudiants. Cela peut ne pas constituer une violation de la loi FERPA si le contenu du courriel ne contient que des informations d'annuaire. En revanche, si le courriel contient des informations sensibles sur les étudiants, comme leur statut de probation académique, cela pose problème. Envoyer des courriels individuels à chaque étudiant ou utiliser un portail sécurisé pour les messages privés peut permettre d'éviter ce problème.
Expliquer l'absence d'un élève
Imaginons qu'un élève ne puisse participer à une activité en raison de ses résultats scolaires. Dans ce cas, si un enseignant mentionne la raison lors d'une conversation informelle avec un autre élève, cela constitue une violation de la FERPA. Là encore, former le personnel enseignant sur ce qu'il peut ou ne peut pas divulguer contribue à réduire ce type d'incidents.
Erreur du fournisseur tiers
Les écoles et les établissements d'enseignement collaborent souvent avec des fournisseurs tiers et leur donnent accès aux dossiers des élèves. Si le fournisseur partage accidentellement ou délibérément ces informations avec une personne non autorisée à les consulter, il s'agit d'une violation de la FERPA. De même, si le fournisseur utilise l'exploration de données à des fins commerciales, il s'agit d'une violation.
La responsabilité de la violation dépend de la vérification du prestataire par l'école et de l'inclusion ou non de clauses de confidentialité des données dans le contrat. Si l'école a fait preuve de diligence raisonnable et a inclus dans son contrat une clause relative au respect de la réglementation FERPA, le prestataire sera alors responsable. Dans le cas contraire, l'école sera sanctionnée.
Communication des dossiers aux parents d'un étudiant adulte
Conformément à la loi FERPA, dès qu'un étudiant atteint l'âge de 18 ans ou s'inscrit dans un établissement d'enseignement supérieur, la propriété de ses informations lui est transférée. Dans ce cas, le partage de ces informations avec ses parents, sans consentement écrit, constitue une violation de la loi FERPA.
Les parents doivent être informés des règles de transfert FERPA lorsque l'étudiant atteint l'âge de la majorité, et s'ils doivent recevoir les informations de l'étudiant, cela doit être avec le consentement de la partie prenante.
Partage public d'informations confidentielles sur les étudiants
Si un responsable scolaire parle à un journaliste ou publie sur les réseaux sociaux un incident ou une mise à jour scolaire et mentionne le dossier scolaire, l'état de santé ou même une mesure disciplinaire d'un élève, il enfreindrait la FERPA.
De même, si les résultats des tests étaient publiés avec les notes en regard des noms ou des pièces d'identité des élèves, ils partageraient une partie du dossier scolaire personnel de chaque élève. Former le personnel sur ce qu'il peut ou ne peut pas partager contribue à réduire ce type de situations. Utiliser des portails étudiants sécurisés pour communiquer avec les élèves plutôt que des annonces publiques réduira également la divulgation accidentelle des dossiers des élèves.
Donner des informations par téléphone
Si une personne appelle l'école en se faisant passer pour un parent d'élève et demande des informations protégées par la loi FERPA, il incombe à l'école de vérifier que la personne est bien celle qu'elle prétend être et qu'elle est autorisée à recevoir ces informations. Cela inclut de vérifier si l'élève a plus de 18 ans et s'il a consenti à la communication d'informations à ses parents.
Conformité FERPA avec BigID
Les données des étudiants, comme toutes les autres données, doivent être gérées et gérées correctement. C'est pourquoi BigID est une solution parfaite pour votre école ou votre établissement d'enseignement.
Notre plateforme propose découverte et classification des données, afin que vous sachiez quelles informations vous possédez et leur degré de sensibilité. Cela vous aidera également à mettre en œuvre et à appliquer la minimisation des données, afin d'éviter de stocker des informations inutiles.
BigID aide également avec gestion des droits sur les données, ce qui vous permet d'obtenir plus facilement le consentement des étudiants et de répondre à leurs demandes, ou à celles de leurs parents, de consulter leurs informations.
Enfin, notre plateforme complète fournit des solutions basées sur l'IA gestion de la posture de sécurité des données Des fonctionnalités qui sécurisent toutes vos données, qu'elles soient hébergées sur site ou dans le cloud. Vous pouvez également l'utiliser pour évaluer les risques liés à vos données et réaliser des audits.
Bien que la formation de vos employés reste votre responsabilité, BigID peut considérablement simplifier le processus de gestion du consentement et de sécurité des données pour la conformité FERPA. Planifiez une démonstration individuelle avec nos experts en confidentialité des données dès aujourd'hui !
Auteur
